Utiliser l’authentification fédérée avec Microsoft Entra ID dans Apple Business
Présentation
Dans Apple Business, vous pouvez associer le service mondial Microsoft Entra Open ID Connect (OIDC) (login.microsoftonline.com) à l’aide de l’authentification fédérée pour permettre aux utilisateurs de se connecter aux appareils Apple avec leur nom d’utilisateur (en général leur adresse e-mail) et leur mot de passe Microsoft Entra ID.
Remarque : L’intégration avec les clouds nationaux n’est actuellement pas prise en charge.
Par conséquent, vos utilisateurs peuvent se servir de leurs informations de connexion Microsoft Entra ID en tant que compte Apple géré. Ils peuvent ensuite utiliser ces informations d’identification pour se connecter à l’iPhone, à l’iPad, au Mac ou à l’Apple Vision Pro qui leur est attribué, ainsi qu’aux iPad partagés. Une fois qu’ils sont connectés à l’un de ces appareils, ils peuvent également se connecter à iCloud sur le Web sur un Mac (iCloud pour Windows ne prend pas en charge les comptes Apple gérés).
Microsoft Entra ID est le fournisseur d’identité (IdP) qui authentifie l’utilisateur ou l’utilisatrice pour Apple Business et délivre des jetons d’authentification. Cette authentification prend en charge l’authentification par certificat et l’authentification à deux facteurs (2FA).
Remarque : Les données ne sont à aucun moment enregistrées dans Microsoft Entra ID.
Quelles données de fédération sont lues dans Microsoft Entra ID ?
Les informations suivantes sont lues lorsque vous créez un lien vers Microsoft Entra ID à l’aide d’Open ID Connect (OIDC) :
Demande de consentement de l’administrateur Microsoft Entra ID | Attributs utilisés par Apple et raison | Requête ou portée de l’API |
|---|---|---|
Attributs : id_token claims :
Raison : pour connecter Apple Business à Microsoft Entra ID à l’aide d’OIDC. | Requête API : N/A Champ d’application :
| |
Attributs :
Raison : pour récupérer les évènements de sécurité survenus sur des comptes utilisateur dans Microsoft Entra ID et prendre des mesures de sécurité appropriées pour les comptes concernés connectés à des appareils Apple. Lorsqu’un mot de passe est modifié ou invalidé par Microsoft Entra ID, la session du compte Apple géré prend fin et il est proposé à l’utilisateur ou l’utilisatrice de s’authentifier de nouveau. | Requête API :
Champ d’application : AuditLog.Read.All | |
Attributs :
Raison : pour synchroniser les domaines validés de Microsoft Entra ID avec Apple Business. | Requête API : N/A Champ d’application : Domain.Read.All | |
Attributs :
Raison : pour synchroniser les données de répertoire de Microsoft Entra ID avec Apple Business. Remarque : Cette portée est également utilisée pour les attributs de synchronisation de répertoires. Voir Comment la fédération des données de Microsoft Entra ID est-elle utilisée pour la synchronisation des répertoires ? | Requête API : N/A Champ d’application : Directory.Read.All | |
Attribut : N/A Raison : pour demander un jeton d’actualisation pendant le flux de code d’autorisation. Le jeton d’actualisation est ensuite utilisé pour demander un jeton d’accès. Le jeton d’accès permet de lire les éléments suivants :
| Requête API : N/A Champ d’application : offline_access |
Quels rôles par défaut de Microsoft prennent en charge les domaines, la synchronisation des répertoires et la lecture des domaines ?
Pour effectuer la tâche Approuver l’authentification fédérée, vous devez utiliser un compte Microsoft disposant du rôle Administrateur général Entra ID. Une fois ce compte connecté, si vous souhaitez changer le rôle qui lui est attribué, deux options s’offrent à vous :
Remplacer le rôle attribué au compte Microsoft par l’un des suivants :
Lecteur général
Administrateur d’application
Administrateur d’application Cloud
Modifier le compte Microsoft afin de lui attribuer les deux rôles suivants : Lecteur de répertoires et Lecteur de rapports.
Ces deux options octroient l’accès suivant, qui est requis par Apple Business :
Consulter la liste de tous les domaines : microsoft.directory/domains/standard/read
Consulter le répertoire de tous les utilisateurs : microsoft.directory/users/standard/read
Consulter les journaux d’audit des évènements de sécurité : microsoft.directory/auditLogs/allProperties/read
Processus d’authentification fédérée
Ce processus se déroule en trois étapes principales :
Approuver l’authentification fédérée.
Tester l’authentification fédérée avec un seul compte utilisateur Microsoft Entra ID.
Activer l’authentification fédérée.
Important : Consultez les informations suivantes avant de configurer l’authentification fédérée.
Étape 1 : approuver l’authentification fédérée
La première étape consiste à établir une relation de confiance entre Microsoft Entra ID et Apple Business. Cette tâche doit être effectuée par un compte Microsoft disposant du rôle Administrateur général dans Microsoft Entra ID.
Remarque : Une fois cette étape effectuée, les utilisateurs ne pourront pas créer de compte Apple non géré (personnel) avec le domaine que vous configurez, ce qui pourrait affecter d’autres services Apple auxquels ils accèdent. Consultez la rubrique Transférer des services Apple.
Dans Apple Business, connectez-vous avec un profil utilisateur habilité à configurer et à paramétrer la fédération, ainsi qu’à se connecter à un fournisseur d’identité (IdP).
Pour afficher les rôles et les autorisations, consultez la section Introduction aux rôles et autorisations.
Dans votre Navigateur, sélectionnez Réglages > Domaines.
Sélectionnez Démarrer à côté de Connexion de l’utilisateur et de la synchronisation du répertoire.
Sélectionnez Microsoft Entra ID, puis Continuer.
Sélectionnez Se connecter avec Microsoft, saisissez un nom d’utilisateur Microsoft Entra ID de type Administrateur général, puis sélectionnez Suivant.
Saisissez le mot de passe de ce compte, puis sélectionnez Se connecter.
Lisez attentivement le contrat de l’application, sélectionnez Accepter au nom de votre organisation, puis Accepter.
Vous autorisez Microsoft à permettre à Apple d’accéder aux informations se trouvant dans Microsoft Entra ID.
Si nécessaire, examinez les domaines validés et en conflit.
Sélectionnez Terminé.
Si besoin, vous pouvez remplacer le rôle Administrateur général attribué au compte Microsoft dans Microsoft Entra ID par un autre disposant des privilèges requis. Voir Quels rôles par défaut de Microsoft prennent en charge les domaines, la synchronisation des répertoires et la lecture des domaines ?
Dans certains cas, il se peut que vous ne puissiez pas vous connecter à votre domaine. Voici quelques‑unes des explications possibles :
Le nom d’utilisateur ou le mot de passe administrateur de l’identifiant Microsoft Entra est incorrect.
Étape 2 : tester l’authentification fédérée avec un seul compte utilisateur Microsoft Entra ID
Important : Le test de l’authentification fédérée modifie également le format de votre compte Apple géré par défaut.
Vous pouvez tester la connexion d’authentification fédérée après avoir réalisé les tâches suivantes :
La vérification des conflits de noms d’utilisateur est terminée.
Le format de compte Apple géré par défaut est mis à jour.
Après avoir réussi à lier Apple Business à Microsoft Entra ID, vous pouvez modifier le rôle d’un compte utilisateur. Par exemple, vous pouvez modifier le rôle d’un compte utilisateur et lui attribuer le rôle de personnel administratif.
Remarque : Les profils utilisateurs habilités à installer et configurer la fédération et à se connecter à Microsoft Entra ID ne peuvent pas se connecter à l’aide de l’authentification fédérée ; ils ne peuvent que gérer le processus de fédération.
Sélectionnez Fédérer à côté du domaine que vous voulez fédérer.
Sélectionnez Se connecter au portail Microsoft Entra ID, saisissez le nom d’utilisateur Microsoft Entra ID d’un compte qui existe dans le domaine, puis sélectionnez Suivant.
Saisissez le mot de passe du compte, sélectionnez Connexion, puis Terminé, à deux reprises.
Déconnectez-vous d’Apple Business.
Remarque : Les utilisateurs peuvent uniquement se connecter à iCloud.com depuis un Mac s’ils se connectent d’abord avec leur compte Apple géré sur un autre appareil Apple.
Dans certains cas, il se peut que vous ne puissiez pas vous connecter à votre domaine. Voici quelques‑unes des explications possibles :
Le nom d’utilisateur ou le mot de passe du domaine que vous avez choisi de fédérer est incorrect.
Le compte ne figure pas dans le domaine que vous avez choisi de fédérer.
Étape 3 : activer l’authentification fédérée
Dans Apple Business, connectez-vous avec un profil utilisateur habilité à configurer et à paramétrer la fédération, ainsi qu’à se connecter à un fournisseur d’identité (IdP).
Pour afficher les rôles et les autorisations, consultez la section Introduction aux rôles et autorisations.
Dans votre Navigateur, sélectionnez Réglages > Domaines.
Dans la section Domaines, sélectionnez Gérer à côté du domaine que vous souhaitez fédérer, puis sélectionnez Activer la connexion avec Microsoft Entra ID.
Activez Se connecter avec Microsoft Entra ID.
Si nécessaire, vous pouvez maintenant synchroniser les comptes utilisateurs avec Apple Business. Consultez la rubrique Synchroniser des comptes utilisateurs à partir de Microsoft Entra ID.